查看原文
其他

谷歌开源Allstar 项目,保护GitHub 仓库安全

Catalin Cimpanu 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



谷歌开源 Allstar 项目,通过不断监控和执行一系列安全策略来保护 GitHub 项目的安全,从而阻止基本的安全配置错误问题。

Allstar 是一款 GitHub app,可安装在组织机构和用户账户中,访问必要的仓库。Allstar 首先读取包含一系列用户定义规则即安全策略的配置文件,接着不断扫描并检查项目的设置和最近活动,确保项目的敏感区域未做出任何修改。

如果最近的项目更新打破了其中一个安全策略,Allstar 能够:

  • 记录安全策略违规;

  • 开设 GitHub 问题,通知管理员

  • 或者采取自动化措施修复或更改项目设置,使其符合最初的 Allstar 配置。

Allstar 未来的开发计划还包括增加如下能力:当安全检查失败时通过邮件告知管理员,如策略崩溃时禁止被合并到仓库,或者通过 RPC 调用向第三方 app 通知跨平台更新。

目前,虽然Allstar 支持如下安全策略的配置选项,但谷歌表示未来该项目还将支持更多:

  • 检查仓库的“分支防护“功能是否仍启用

  • 检查项目的自动化依赖关系选项是否活跃

  • 检查项目已冻结依赖关系

  • 检查仓库管理员是否为某个特定 GitHub 组织机构的一部分

  • 检查二进制工件(文件)是否上传至项目

  • 检查 SECURITY.md 文件是否存在于仓库,确保bug已被负责任地报告

虽然Allstar 最初是由谷歌开发的,不过该项目现在已经通过开源安全基金会 (OpenSSF) 公开。该基金会由当前最大的技术公司创建,以帮助引导、指导和共享开源安全工具。除谷歌外,OpenSSF 还包括了更多成员如 GitHub、微软、Canonical、思科、Facebook、Intel、惠普、IBM、Red Hat、三星等。





推荐阅读
谷歌推出新的漏洞计划平台,开源软件补丁和研究论文也可得奖励
谷歌开源容器镜像的签名和验证工具 Cosign
谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全




原文链接

https://therecord.media/google-open-sources-allstar-a-tool-to-protect-github-repos/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存